Experten und Spezialisten haben in Thunderbird hochgefährliche Schwachstellen gefunden die nach CVSS mit dem Wert 7,8 als hochgefährlich gelten. Die Schwachstellen CVE-2023-34416 und CVE-2023-34414 beinhalten einen Speichersicherheitsfehler und erlauben Clickjacking. Ein Update auf die Version 102.12 beendet die Gefahr.
Der beliebte E-Mail-Client Thunderbird hat zwei Schwachstellen die mit einem CVSS-Wert von 7,8 als hochgefährlich gelten. Auch das BSI hat die Sicherheitsinformation unter Nummer WID-SEC-2023-1414 mitgeteilt. Die Fehler sind einfach zu beheben. Es reicht ein Update auf die Thunderbird-Version 102.12 aus. Allerdings haben viele Nutzer und Unternehmen beim Thunderbird die Standardeinstellung nicht verändert. Dort steht das Update auf „Nach Updates suchen, aber vor der Installation nachfragen“. Oft wird der Hinweis auf das Update aber verschoben. Updates sollten automatisch installiert werden (Bei Extras/ Einstellungen/ Updates).
Clickjacking und Speichersicherheitsfehler
Die Fehlerbeschreibung von Thunderbird:
CVE-2023-34414: Clickjacking-Zertifikatausnahmen durch Renderverzögerung
Auf der Fehlerseite für Websites mit ungültigen TLS-Zertifikaten fehlte die Aktivierungsverzögerung, die Thunderbird verwendet, um Eingabeaufforderungen und Berechtigungsdialoge vor Angriffen zu schützen, die Verzögerungen bei der menschlichen Reaktionszeit ausnutzen. Wenn eine bösartige Seite den Benutzer unmittelbar vor dem Navigieren zu einer Website mit einem Zertifikatfehler zu Klicks an bestimmten Stellen auslöste und gleichzeitig den Renderer stark belastete, konnte zwischen dem Laden der Fehlerseite und dem tatsächlichen Aktualisieren der Anzeige eine Lücke entstehen. Mit dem richtigen Timing könnten die ausgelösten Klicks in dieser Lücke landen und die Schaltfläche aktivieren, die den Zertifikatsfehler für diese Site überschreibt.
CVE-2023-34416: Speichersicherheitsfehler
Die Mozilla-Entwickler und Community-Mitglieder Gabriele Svelto, Andrew McCreight, das Mozilla Fuzzing Team, Sean Feng und Sebastian Hengst haben über Speichersicherheitsfehler in Thunderbird 102.11 berichtet. Einige dieser Fehler zeigten Anzeichen einer Speicherbeschädigung und wir gehen davon aus, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen.